安全儀表系統架構分析

周玲艷，秦悅明

(1.云南解化清潔能源開發有限公司解化化工分公司，云南 開遠 661699；2.北京一諾先科裝備技術有限公司，北京 100020)

近年來，隨著化工領域工業安全理念的發展，以及國家安監政策的出臺，以安全保護和抑制減輕災害為目的的安全儀表系統(Safety Instrumented System，SIS)已廣泛應用于化工領域緊急停車系統(ESD)、安全聯鎖系統(SIS)、火氣檢測報警系統(FGS)等不同工藝或裝置防護場合，用于保護人員、設備和環境。

企業用戶在安全產品選擇及使用時，面對眾多供應商提供的不同架構形式和性能的安全儀表系統往往只停留在簡單使用維護層面，對其系統架構和該架構對于產品性能的影響不太了解。本文結合自己多年應用經驗以及對不同安全產品的了解，簡略分析安全儀表系統架構，以及架構對于安全產品性能的影響，為企業的安全儀表選型、使用、維護提供參考。

1 安全儀表系統架構類型及核心組成[1]

目前，國內外市場，常見的安全儀表系統類型主要分為三類：一是四重化冗余容錯(QMR)系統，安全降級運行模式為4-2-0模式；二是三重化冗余容錯(TRM)系統，安全降級運行模式為3-2-0模式或3-2-1-0模式；三是雙重冗余PLC系統，安全降級運行模式為2-0模式。

截至目前，E/E/PE安全相關系統尤其是PE安全相關系統，都是以搭積木的方式進行組合，由安全組件(element)組合成安全子系統(subsystem)，再由安全子系統(subsystem)組合成E/E/PE安全相關系統。作為安全工程的設計者或使用者，或者作為安全工程的審查者或評估者，只能以有效的、可判別的安全組件進行安全分析與評估，而不可能進入到電氣/電子元器件的顆粒度去判別功能安全是否到達。而安全組件(element)，是最小的可判別的基本安全單元，其是由安全產品生產商根據相關的功能安全標準例如IEC61508進行設計、制造，并由具有適當資質的安全評估機構進行評估與定級的。一種情況是，生產商可能只生產安全組件(element)，如具有SIL等級的變送器，在這種情況中，現場安全工程中的變送器子系統是根據項目需要來拼搭組合的。例如，使用SIL2等級的變送器1只、或者2只、或者3只。另一種情況是，生產商不僅生產安全組件(element)，而且還有安全組件(element)組合成安全子系統(subsystem)，如安全控制系統廠商生產SIL3等級的AI、DI、DO模塊和CPU模塊，并提供這些模塊組合成一個SIL3等級的安全子系統(subsystem)所需要的所有必須的配件。

組件(element)的定義是實現一個具體功能時不可拆分的最小元件集合。安全組件(element)的定義是實現安全功能時不可拆分的最小元件集合，包括由具有適當資質的安全評估機構進行評估與定級時進行功能安全判別的單元顆粒。例如，一個8通道的AI模塊就是一個SIL3級別的安全組件(element)，雖然這個安全組件具有8個控制通道，但只能作為一個安全組件(element)被整體設計和評估、以及整體使用與維護，8個通道中雖然只有一個通道發生故障、另外7個通道完全可以繼續執行安全功能，但這個安全組件進入故障狀態；另一種情況是將這個8通道的AI模塊一分為8、作為8個SIL2級別的單通道AI模塊，但這8個SIL2級別的單通道AI模塊是8個完全一樣的安全組件(element)，雖然完全可以實現一個SIL3級別的8通道AI模塊的所有功能，但這8個SIL2級別的單通道AI模塊在設計和評估、使用與維護的過程中，與8通道AI模塊完全不一樣。

根據IEC61508-2標準的要求，對于由Type B(復雜類)安全相關組件或子系統實施的安全功能最大可允許的安全完整性等級如表1所示。

表1 Type B(復雜類)安全相關組件或子系統實施的安全功能最大可允許的安全完整性等級

表1所示為安全組件(element)與對應的硬件故障裕度(HFT)的確切關系，硬件故障裕度(HFT)是針對安全組件(element)提出的并聯結構容錯要求，而不是針對硬件通道(channel)而言的。并且，在決定安全組件(element)的硬件故障裕度(HFT)時，不考慮可以控制故障影響的措施(如診斷)。為什么采用安全組件(element)的概念，而不是硬件通道(channel)的概念，原因如下：① 安全組件(element)是不可拆分的最小單元，方便安全評估、工程設計和使用維護，硬件通道(channel)在概念上貌似可拆分和可進行安全評估，但在工程設計和使用維護上又無法進行單通道拆分與使用維護；② 硬件通道(channel)的概念不夠清晰，例如，一個安全子系統(subsystem)中，具有單通道的地方，例如端子板和信號電路，和三重化的模塊，例如AI模塊和CPU模塊；還有可能是信號電路是三通道，而CPU是二通道，因此通道的概念比較模糊，對安全工程的設計和評估不利；硬件通道(channel)的概念與功能安全評估沒有清晰的界定關系。

2 安全儀表系統架構實現方式[2]

四重化冗余容錯(QMR)系統是采用1OO2D技術實現SIL3的功能安全產品，即主要的安全組件(element)采用雙通道比較、互診的方式，達到表1中左邊第1列SFF≥99%、HFT=0和SIL=3的要求，具體來說就是AI、DI、CPU、DO作為安全組件(element)，其實都是雙通道的硬件模塊，因為每個模塊作為一個安全組件(element)都達到SFF≥99%、HFT=0和SIL=3的要求，因此單個系統采用全部單個的CPU模塊和IO模塊就能達到SIL3的系統安全完整性要求。然而，符合1OO2D技術特點的CPU模塊和IO模塊只要在兩個通道中發生數據不一致，即會造成相應的關閉動作，因此在安全性完全有保障的情況下，可用性大大降低，對于大規模流程生產而言非常不利。為了在保證安全性的前提下同樣保證可用性，因此采用兩套本質上由單模塊組成的SIL3系統并列運行的方式。當采用兩套本質上由單模塊組成的SIL3系統并列運行時，如果一套單模塊系統中，由于某個1OO2D安全組件內部檢測到故障并降級運行到1OO1D時，剩下的1OO1D單通道運行不可信，其輸出接點與健康的1OO2D系統直接并聯，在1OO1D側發生隱形失效時會完全屏蔽1OO2D側的健康輸出，此種情況不可接受，因此1OO2D安全組件在檢測到故障時直接關閉，而不是降級到1OO1D繼續運行。

三重化冗余容錯(TRM)系統實際采用了3*1OO1D的系統架構形式，如圖1所示。系統的主體運行狀態是三通道模式(TMR Mode)；在發生一個控制器故障時，系統降級運行到雙通道模式(Dual Mode)；在發生第二個控制器故障時，系統降級運行到單通道模式(Single Mode)或者觸發安全狀態。三通道系統的基本組成單元是單通道系統，即由輸入、運算、輸出組成的單通道系統。按照表1所示復雜類(Type B)通道或子系統實施的安全功能最大可允許的安全完整性等級，可知單通道系統最高可申明為SIL3水平。但單通道做到SIL3水平是極其困難的，由表1可知，在1OO1D結構時硬件故障裕度HFT=0，達到SIL3安全等級的要求是安全失效分數SFF≥99%。

圖1 3*1OO1D的系統架構形式

已知安全失效分數：

SFF=(ΣλS+ΣλDD)/(ΣλS+ΣλDD+ΣλDU)=(ΣλS+DC*ΣλD)/(ΣλS+ΣλD)，且：

ΣλS=ΣλD

可知：DC≥98%。

由以上推導可知，在完全單通道的情況下要達到SIL3安全等級，就要求由輸入模塊的IO通道(AI或者DI)、主控模塊的控制通道、輸出模塊的DO通道所組成的子系統(subsystem)控制通道的整個電路的總的診斷覆蓋率≥98%。但由于在所有的通道電路中，主控單元的CPU、可變內存RAM、IO模塊的MCU等等，一方面失效率尤其是軟錯誤率很高，另一方面要達到很高的診斷覆蓋率(DC≥98%)難度很大成本很高，所以單通道系統通常聲明為SIL2安全等級。表2所示為IEC61508-6附表C.2所示的控制通道中不同器件所能達到的診斷覆蓋率水平。

表2 控制通道中不同器件所能達到的診斷覆蓋率水平

即使單通道做到SIL3水平，其實還是有很大的局限性，包括：①單通道不容錯，即硬件故障裕度HFT=0，在發生顯性危險失效(λDD)的時候，因為不容錯，要么導致誤動，要么只能拒動；在發生隱性危險失效(λDU)的時候因為沒有比較、無法揭示隱性危險失效的出現，只能是拒動；②單通道在進行SIL3合規的PFGavg計算時，通常會導致一個較短的SIL3合規的檢驗測試時間(T1)。例如TS3000系統在單通道時申明SIL3合規運行時間只有 150 h，而在雙通道時申明SIL3合規運行時間達到 3000 h，兩者的區別主要在于雙通道運行時，控制器模塊控制輸出區域的數值可以進行表決，存在數據不一致即揭示出故障條件；在雙通道運行時，揭示出故障條件后即會導致被控輸出點關閉(斷開)。③由于單通道無法揭示發生的隱性危險失效(λDU)，考慮到CPU、RAM等的復雜性以及軟錯誤率的數量，從嚴格意義上來講，單通道是不可信的。

雙重冗余PLC系統，是目前國內新研發出的安全產品，實際采用了2*1OO1D的系統架構形式，安全級別申明為SIL2(雙冗余模式下)。系統的主體運行狀態是雙通道模式(Dual Mode)；其聲明的硬件故障裕度HFT=0，因此在發生一個控制器故障時，直接導向安全輸出狀態。

3 基于診斷的故障安全運行、SIL3安全合規的安全運行及安全分區的建立[3]

以三重化冗余容錯(TRM)系統為例，該系統以1OO1D為基本組織單位，采用廣泛的診斷技術與措施，1OO1D通道在檢測到故障后，輸入數據部分會采用安全值，輸出數據部分會導向安全值；三重化冗余容錯(TRM)系統非常強調正確地管理故障信息，避免過程或者工廠不必要的跳車。

對于1OO1D單通道系統，主要的故障診斷包括：

① 不能夠檢測DI輸入點的狀態改變；

② 不能夠檢測AI輸入數值的改變；

③ 不能夠改變DO輸出點的狀態(OVD)；

④ 對于系統通道：

IO通信總線失效；

三通道數據表決總線失效；

控制程序執行故障；

控制輸出點狀態不能正確決定。

“D”的含義是診斷到故障并導向安全值。按照IEC61508標準要求，對于運行于低需求模式的任何通道類型的安全子系統，或者運行于高需求或者連續運行模式中且硬件故障裕度HFT≥1的安全子系統，在檢測到故障后要求在MRT(主修復時間)內(在線)修復即可，并沒有要求在一個控制周期內關閉；1OO1D是系統底層的通道故障安全型運行機制，可能在單通道(認證 150 h SIL3合規)或者雙通道模式(認證 3000 h SIL3合規)中運行很長時間，這樣就會超出TUV認證的SIL3合規運行時間。

為了非常嚴格地執行安全項目，并且與TUV SIL3認證合規，實際上需要在應用層面對雙通道運行時間或者單通道運行時間進行SIL3合規運行的約束。每個項目或者每個用戶對自己裝置的安全儀表系統在降級運行到雙通道和/或者單通道運行的時間，應當根據TUV SIL3認證合規的要求，在降級運行到規定的時間后。例如雙通道運行時間≤3000 h，和/或者單通道運行時間≤150 h，通過診斷與定時器的方法，在到達了規定的SIL3合規運行時間后，觸發ESD邏輯動作將過程或裝置關閉。這樣做的目的是防止隱性危險失效概率的累積不會突破SIL3安全認證的限制數值。

此外一套SIS系統中，并不是所有的信號全部用于安全相關功能，或者用于完全同樣安全等級的安全相關功能。比如說，用戶將一些用于監視的信號接進了SIS系統，這些用于監視的信號可能會因為通道故障而降級運行于雙通道或者單通道模式。這些監視信號的降級運行不應該進入SIL3合規運行時間的計時之中。因此，系統需要提供手段，幫助工程設計人員和實施人員，對SIL3合規運行時間的邏輯實施，區分出安全關鍵信號和非安全關鍵信號。作為信號的載體，可以在通道的級別上進行區分，也可以在IO模塊的級別上進行區分；在通道的級別上進行區分，會區分的很細，但會造成軟件復雜、數據量大；在IO模塊的級別上進行區分，軟件會相對簡單一些，數據量也會少一些。但這要求在工程設計和實施的時候，將安全關鍵信號和非安全關鍵信號分類分配在安全關鍵模塊和非安全關鍵模塊上。系統軟件需要提供基于槽位/模塊的運行模式診斷函數，組態時分別對每個安全關鍵模塊調用槽位/模塊的運行模式診斷函數，運行時識別安全關鍵模塊的運行模式(三通道、雙通道、單通道)，之后將一個裝置的安全關鍵模塊的運行模式診斷結果匯總起來，進入TUV SIL3合規運行時間邏輯。非安全關鍵信號和模塊的運行模式不被關注。這個TUV SIL3合規運行時間邏輯，即作顯示，又做報警，還做控制。更進一步地講，當采用一套大型SIS系統控制多個裝置或者全廠時，可以建立多個安全分區，每個安全分區的TUV SIL3合規運行時間邏輯自成一體，這樣做方便工廠的安全審查和安全管理。

TUV SIL3合規運行時間邏輯對克服隱性危險失效(λDU)和控制檢驗測試周期都很有好處。在國外的項目中通常都被采用。然而在國內的項目中很少被采用，除了極個別的項目中被采用外，絕大部分項目的TUV SIL3合規運行時間邏輯組態都做了，但都不投入使用，是為了在雙通道或者單通道運行時追求最大的使用率。

4 系統中的表決與DO模塊的表決[4]

以三重化冗余容錯(TRM)系統為例，系統采用了3*1OO1D的系統結構方式，運行模式包括三通道、雙通道甚至單通道。其中三通道和雙通道運行模式采用三通道表決算法(三取二表決)，模擬量三取中、二取高；雙通道時，第三個通道采用后備安全值；三通道和雙通道的硬件故障裕度HFT=1。

三重化冗余容錯(TRM)系統中的表決包括，CPU模塊中的總線上對開關量輸入數據的表決，CPU對模擬輸入量的表決，和DO模塊控制輸出的表決；CPU模塊中總線的表決主要就是對開關量輸入數據的表決，除此之外，還負責將其他兩通道和本通道的模擬量輸入數據拷貝到運算CPU的RAM區，將本通道運算后的開關量輸出數據拷貝到通信RAM區、并比較三通道的開關量輸出數據、上報不一致，將本通道運算后的模擬量輸出數據拷貝到通信RAM區。

DO模塊控制輸出的表決，主要是四方驅動控制電路和四方驅動輸出電路，其與DO模塊三個通道的MCU配合，實現的邏輯是3取2表決輸出、2取2表決輸出、1取1表決輸出。其中，3取2表決輸出安全性高、可用性高，2取2表決輸出安全性高、可用性最低，1取1表決輸出可用性高、安全性最低。

5 系統結構的外在表現形式[5]

前面介紹了安全儀表系統的內部架構組成和表決機制，市面常見的安全儀表系統的外在表現結構也是多種多樣，主要分為機籠框架式結構與模塊式結構，下面簡略介紹:

機籠框架式結構：CPU、AI、AO、DI、DO等模塊為卡板式，插在帶有底板通訊的機籠框架內，多模塊應用場景則會增加機籠框架及相應卡件，各機籠間通過專用總線進行鏈接；由于各系統使用的安全組件架構不同各卡板的結構組成也各有差異。例如在三重化冗余容錯(TRM)架構下，CPU板卡有的設計為單板*3結構組成三重化，有的設計為單板三重化電路，并組成主備槽互備結構；I/O模塊一般設計為單板三重化電路，并組成主備槽互備結構，機籠框架式結構的優點是空間節約，缺點是易出現共因失效，多機籠級聯易使數據傳輸時間延長導致CUP的運算時間增加，另需遠程站通訊時增加成本較高。

模塊式結構：CPU、AI、AO、DI、DO等模塊均為完全獨立式卡件，以3*1OO1D形式組成三重化冗余容錯系統，這種系統采用分布式的I/O網絡結構，I/O網絡的通訊速度高達100M/S，I/O吞吐率(I/O Throughout)非常高，I/O實時響應速度快。采用分布式I/O網絡有如下好處：可以節省電纜的敷設，可以將I/O模塊就地安裝，采用這種方式還可以避免由于距離過長導致的信號衰減；可以提高系統的抗干擾能力，系統的I/O網絡可以采用光纖方式傳輸，避免電氣干擾；維護簡單。

6 結語

安全是化工企業永恒的話題，安全儀表系統作為確保工藝裝置生產安全，避免重大人身傷害及重大設備損壞事故的自動化保護系統，起到了關鍵作用。作為企業安全工程的使用者，有必要對安全儀表系統的原理、機制、架構、使用、維護做深入的學習，切實讓它起到相應的保護功能。同時也要對國家制定的安全法律、法規、標準、規范做相應的了解與學習，提升企業安全意識和安全管理水平。

同時也要清楚的認識到，安全儀表系統只是企業安全生產的一個保護層，不能認為僅僅使用維護好安全儀表系統就實現了安全目標，應當從保護模型出發，落實各層面的安全保護措施，持續提高化工企業安全生產水平。